Twee recente aanvallen op de toeleveringsketen hebben dit mogelijk gemaakt hackers om de betalingsinformatie en gebruikerswachtwoorden van meer dan 4.600 websites te verzamelen.
Volgens ZDNet, werden de aanvallen op de toeleveringsketen opgemerkt door Twitter-gebruiker en Sanguine Security forensisch analist Willem de Groot en werden vanaf zondag 12 mei nog steeds als aan de gang beschouwd.
Aanbevolen video's
De aanvallen omvatten het doorbreken van een analyseservice bekend als Picreel en een open-sourceproject genaamd Alpaca Forms. In wezen hebben de hackers die verantwoordelijk zijn voor de aanval de JavaScript-bestanden van elk bedrijf gewijzigd om “kwaadaardige code op meer dan 4.600 websites in te sluiten.” Eenmaal ingebed, wordt de kwaadaardige code verzamelde vervolgens de door websitegebruikers gegeven informatie (betalingsinformatie, logins en contactformuliergegevens) en stuurde de verzamelde informatie vervolgens naar een server in Panama.
Verwant
- Hackers stalen met behulp van malware wachtwoorden van 140.000 betaalautomaten
Hoe de kwaadaardige code zo snel duizenden websites kon bereiken, kan worden verklaard door het soort bedrijven dat ze in de eerste plaats hebben aangevallen. Zoals ZDNet opmerkt, is de belangrijkste dienst van Picreel bijvoorbeeld dat ‘site-eigenaren kunnen registreren wat gebruikers doen en hoe ze omgaan met een website om gedragsanalyses te analyseren. patronen en verhogen de gesprekssnelheid.” En om die service te kunnen bieden, moeten Picreel-klanten (lees: website-eigenaren) een stukje JavaScript-code in hun eigen websites. De kwaadaardige code werd verspreid door dat stukje JavaScript-code te wijzigen.
Alpaca Forms is in feite een open-sourceproject dat wordt gebruikt om webformulieren te bouwen. Het project is gemaakt door Cloud CMS. Hackers konden hun kwaadaardige code verspreiden via Alpaca Forms door inbreuk te maken op een Content Delivery Service Network (CDN) dat door Alpaca Forms wordt gebruikt en wordt beheerd door Cloud CMS. Nadat ze dit CDN hadden doorbroken, konden de hackers een Alpaca Form-script wijzigen om de kwaadaardige code te verspreiden. In een per e-mail verzonden verklaring aan ZDNet zei Cloud CMS Chief Technical Officer Michael Uzquiano dat slechts één Alpaca Form JavaScript-bestand was gewijzigd. Daarnaast meldt ZDNet ook dat het getroffen CDN door Cloud CMS is verwijderd. Het contentmanagementsysteembedrijf verklaarde ook het volgende: “Er is geen inbreuk op de beveiliging of beveiligingsprobleem geweest met Cloud CMS, zijn klanten of zijn producten.”
Zoals ZDNet opmerkt, lijkt deze conclusie echter door geen enkel bewijs te worden ondersteund. Ook de code gevonden in de Alpaca Forms-aanval is gespot op 3.435 locaties. En de kwaadaardige code die bij de Picreel-aanval werd aangetroffen, was naar verluidt gespot op 1.249 websites dusver.
Het is momenteel onduidelijk wie de hackers zijn. Maar dat was het wel gemeld door de Groot via Twitter op maandag 13 mei dat de kwaadaardige code eindelijk is verwijderd door Picreel en Cloud CMS.
Aanbevelingen van de redactie
- Hackers hebben mogelijk de hoofdsleutel van een andere wachtwoordbeheerder gestolen
Upgrade uw levensstijlMet Digital Trends kunnen lezers de snelle technische wereld in de gaten houden met het laatste nieuws, leuke productrecensies, inzichtelijke redactionele artikelen en unieke sneak peeks.